在第一部分中,我们配置了LYNC的前端和后端,已经实现了内部用户的访问。现在为了让外部用户可以访问到我们的LYNC基础架构,我们可以架设一台边缘服务器了。当然了,在没有边缘的情况下,用户也可以通过×××的方式来登录LYNC服务器。有了LYNC的边缘服务器,除了可以让外部用户登录LYNC之外,还可以实现以下功能:

1. 和MSN、AOL或者Yahoo联盟,这样LYNC用户可以添加这些用户到自己的联系人列表内,反之亦然

2. 和其它企业进行联盟,这样可以互相添加对方的用户

要实现第一点,操作起来还是比较困难的。因为有很多条件限制,在实验环境下比较难以实现,当然也不是不可能的。如果以后有机会,我们可以研究一下。

很多人使用微软的TMG来作为企业防火墙,如果你只有一个唯一的TMG防火墙,并且用它来保护LYNC的边缘服务器,那么需要满足下面几个条件:

LYNC边缘服务器放在DMZ区域,但是DMZ的网络必须使用可以路由的公网IP地址,为什么?因为TMG不支持静态的NAT,而A/V则需要静态的NAT。所以就只能用公网地址,然后配置外部网络和DMZ网络为路由关系。

LYNC边缘服务器至少需要两块网卡,一块接在DMZ网络,一块接在内部网路上。

要多少个公网地址,很多人看了微软的文档之后,估计都不是很明白,微软的文档上面经常说要至少3个,因为有三个角色:边缘访问、Web会议和A\V会议每个角色一个,这样可以保证这些角色都可以用到443端口。在国内,这个估计不是非常现实,因为大家的公网地址都非常少。所以极端情况下,边缘的外部地址用一个也可以,但是这样就需要修改一些默认的端口了,大家在后面的配置中会看到我们使用一些442之类的端口。

如果你没有支持静态NAT的防火墙,有不能使用TMG来保护LYNC边缘的话,还有一种非常极端的方法,就是把边缘服务器和TMG并列放置,这样TMG可以仅仅用来做一些反向代理的工作。在这样的极端情况下,LYNC边缘服务器的外部地址就暴露在互联网下,是非常不安全的,如果前面还有一个防火墙支持静态NAT的话,那么还是建议把边缘放在这个防火墙之后。

需要注意的是这个时候TMG的作用就是逆向代理,什么是逆向代理?其实非常简单,LYNC客户端需要访问LYNC前端的IIS网站来获得一些诸如地址簿、分布组和会议内容等内容,而这个访问必须是通过加密的方式来进行的,就是HTTPS的方式,逆向代里的意思就是用户首先是访问TMG的外部口的HTTPS(就是我们在TMG里面建立的监听端口,需要为这个侦听器配置一个证书),TMG接受以后请求再通过HTTPS的方式去访问前端的IIS。这个过程就成为逆向代理。

你需要在公网的DNS上注册多少条记录?至少需要4条:

 

A记录名称

对应IP地址

第一条

lyncrp.lyncpbx.net

10.0.0.2

第二条

Meet.lyncpbx.net

10.0.0.2

第三条

Dialin.lyncpbx.net

10.0.0.2

第四条

sip.lyncpbx.net     

172.20.0.2

如果你想在外网启动自动登录,那么还需要一条SRV记录,这条记录对应sip.lyncpbx.net。请对照下面的拓扑来理解。

边缘服务器的配置流程就是:

修改拓扑加入边缘的内容------>发布拓扑------>到前端导出拓扑,然后拷贝到边缘------>在边缘上导入拓扑-------->安装CMS复制组建------>安装边缘程序文件------>分别为边缘内部网卡和外部网卡配置证书------>启动边缘相关服务

TMG 2010配置流程:

配置TMG为3臂模式------>创建2个端口,这些端口就是在LYNC 边缘服务器上开放的端口,其中5061系统已经内置------>创建4条发布规则,其中一条对应前端的IIS服务,另外3条对应DMZ网络内的边缘服务器。

clip_p_w_picpath002

在上面的拓扑中,我们假设DMZ 中的172.20.0网段是可以被公网路由到的。

主计算机名

IP地址

角色

安装服务

dc.lyncpbx.net

192.168.1.10

域控制器

DC,DNS,CA

fe.lyncpbx.net

192.168.1.11

LYNC前端

LYNC企业版

ee.lyncpbx.net

192.168.1.12

LYNC后端

SQL 2008 标准版 SP1

Lyncedge.lyncpbx.net

DMZ:172.20.0.2

Local:192.168.1.19

   

TMG

WAN:10.0.0.2

DMZ:172.20.0.1

Local:192.168.1.3

   


详细流程:

配置前端

登录到前端服务器,启动拓扑构建器:

clip_p_w_picpath003

下载当前的配置。

clip_p_w_picpath005

首先我们检查一下外部WEB服务的地址,这个地址就是我们在外部注册的地址,它对应的IP地址为TMG的外部端口,大家会发现它是在4443端口上监听的,这意味着我们以后要把用户的访问从443重新定向到4443端口。

clip_p_w_picpath006

新建一个边缘池

clip_p_w_picpath008

点击下一步

clip_p_w_picpath010

填入边缘服务器的FQDN

clip_p_w_picpath012

我们的边缘服务器可以直接被外部访问到,所以不选第三个

clip_p_w_picpath014

这里填入的sip.lyncpbx.net需要在外部的DNS上注册到。然后看注意相关的端口,这些端口就是我们以后需要在TMG上发布的相关端口。并且这些端口也是边缘服务器配置好之后开放的端口。

clip_p_w_picpath016

这里填入边缘的内部网卡地址

 clip_p_w_picpath018

外部网卡地址

clip_p_w_picpath020

下一跳就是我们的池名,这也就意味着边缘服务器一定要可以解析出这个地址

clip_p_w_picpath022

然后发布拓扑,这个时候位于EE的CMS里面就有了边缘的相关配置。我们需要导出来,然后导入到边缘服务器上。

如果你要删除这个边缘池,系统会这么提示你,无法删除

clip_p_w_picpath023

clip_p_w_picpath025

你需要到池属性里吧这里取消关联才可以删除。

 然后利用下面的命令导出配置文件

clip_p_w_picpath026


配置边缘服务器

下面我们到边缘服务器上做相关配置。

LYNC 边缘服务器设置,不加入域,但是修改DNS后缀。这条记录需要在内部的DNS上存在。这样池才可以联系到它。

clip_p_w_picpath027

clip_p_w_picpath029

启动光盘上的安装文件,然后点击安装本地配置存储

clip_p_w_picpath031

这里就需要用到我们从前端上刚才导出的文件了。

clip_p_w_picpath033

顺利完成。点击完成关闭。

 clip_p_w_picpath035

clip_p_w_picpath037

点击步骤2的运行

clip_p_w_picpath039

也顺利完成。

clip_p_w_picpath041

选择步骤3的运行。

clip_p_w_picpath043

下面就到了为边缘申请证书的步骤了,因为边缘有两块网卡,这个过程需要做两次。在我们的例子里,为边缘内部申请证书的SN为edge.lyncpbx.net,而为外部边缘证书申请的则为sip.lyncpbx.net。大家应该很熟悉了,我们需要生成CSR文件,然后到CA上提交,然后下载。这个非常简单,大家如果不是很明白的话,可以参考以前证书申请的文章。我这里就介绍一下如何下载CA的证书链。

clip_p_w_picpath045

我们需要访问CA的页面,然后点击下载CA证书那个链接

clip_p_w_picpath046

然后选择下载CA证书链,这个是一个p7b的文件,下载后导入系统就可以了。

clip_p_w_picpath048

这个是证书已经申请并分配好的画面。

然后就可以启动服务了。大家可以注意一下红色框里面的3个端口,他们就是刚才我在拓扑构建器里面填的3个端口。

clip_p_w_picpath050

到这里边缘的配置就结束了,我们开始配置TMG。


TMG 配置

创建TMG的发布规则,一共4条

p_w_picpath

其中第一条发布的是内部pool.lyncpbx.net的IIS服务,

我仅仅提一下发布时的关键点:

clip_p_w_picpath053

这里要把meet和dialin记录加入到外部名称上。

clip_p_w_picpath054

重新定向到4443上。

clip_p_w_picpath055

验证代理为,客户端自己验证。

clip_p_w_picpath056

而侦听器则为不需要验证。

clip_p_w_picpath057

侦听器上需要绑定证书,这个证书的名称为lyncrp.lyncpbx.net。

 其他三个发布规则就更加简单了。

442端口的发布:

clip_p_w_picpath058

是发布442端口,这个端口要先自己建立。

clip_p_w_picpath059

目标服务器是LYNC的边缘服务器。

关于5061和442端口的发布也是一样的。

 到这里TMG的配置就完成了。登录测试一下看看呢?测试中遇到问题不好解决?如果你遇到一些问题,可以看看LYNC客户端的配置情况,按住Ctrl 然后右键点击LYNC的小图标看看。你会看到一个配置信息。 p_w_picpath

在这里我就知道客户端已经拿到了服务器的数据,LYNC在外网如果在需要分布组数据的时候就会到http://lyncrp.luncpbx.net:443/groupexpansion/service.svc去获取。那我可以尝试在客户端的机器上访问一下这个地址看看是否可以访问等等。这些都是很好的排错方法。

到这里边缘服务器就配置完毕了,过程有些繁琐,不过还是值得的,因为我们已经让用户在外网的时候可以和在内网一样使用LYNC。

第三部分就会讲述中介服务器的相关配置,敬请期待 J